Cloudflareは、今後もGDPRの対象となっているデータを所有するお客様に標準契約条項(SCC)を提供していきます。この分野における展開だけでなく、代替となる移転メカニズムにも注目していきます。
「Schrems II」事件判決を踏まえて、当社のお客様がGDPRが適用されるデータ主体者と米国へ移転されるデータがGDPRの下で適切な保護を受けられるという追加の確証を求めていらっしゃることを当社は理解しています。追加の保護措置についてはすでに説明した通りです。
欧州連合司法裁判所(CJEU)が「Schrems II」事件判決の分析で米国の国家安全保障当局の数を考慮していたため、これらの当局を米国データ処理者に適用することについていくつか疑問も出ています。これらの当局がデータ移転に関連しているかどうか、またはどのように関連しているかを説明するには、欧州連合司法裁判所(CJEU)が参照する当局の追加説明が必要です。
第702条:外国情報監視法(FISA:Foreign Intelligent Serveillance Act)の第702条は、米国政府が対外諜報目的で、米国外に在住する、米国国籍を持たない「非米国民」の通信要求を許可するものです。米国政府は、この702条を使って特定の対外諜報対象に関連するメールアドレスといった特別な「セレクター」を通して通信内容を収集します。この権限は通常、通信内容の収集に用いられ、702条を順守するよう求めている「電子通信サービスプロバイダー」とは、多くの場合、メールプロバイダーや通信情報にアクセスできるそのほかのプロバイダーのことを指します。
透明性レポートに記載のとおり、Cloudflareはこのタイプの従来の顧客コンテンツにアクセスすることはありません。さらにCloudflareは、当社のネットワーク内を通過するお客様のコンテンツのフィードをいかなる政府にも提供したことがなく、こうしたことを求められた場合、違法または違憲であると考える要求からお客様を保護するためにあらゆる法的救済措置を講じるという公約を長年にわたって表明してきました。
大統領命令12333号:大統領命令12333号は、米国外に在住する非米国民を対象にした米国諜報機関による海外の情報収集についてです。大統領命令12333号には、米国企業の協力を強要する規定はありません。
Cloudflareは、緊急時以外において、いかなる政府機関でも顧客データを提供する前に法的手続きを要請するという公約を長年持ち続けています。したがって、大統領命令12333号の下で自発的に要求に従うことはありません。さらに、Cloudflareは個人データが好奇の目にさらされないように転送中のデータ、コンテンツとメタデータの両方にセキュリティを追加するよう率先して取り組みを行ってきました。たとえば、2014年にUniversal SSLを開始し、すべてのCloudflareのお客様のために、かつては高価で困難だった暗号化を無料にしました。そして当社は、Universal SSLを開始したその週に、暗号化されたWebの規模を2倍に増やしました。暗号を対象とする法律が増加しているため、政府または第三者からの要請を受けて、当社の暗号化を弱体化させたり、暗号を改ざん、または破壊したりすることは決してないと明言してきました。